Le fiasco OpenID

OpenID est depuis quelques années déjà vu comme le système d’authentification du futur, le système qui permettra à tous les utilisateurs d’enfin s’affranchir des mots de passe.

Le seul problème, c’est qu’au delà d’un cercle fermé d’enthousiastes de technologie, personne n’y comprends rien, et la plupart des business internet ne voient pas vraiment l’intérêt de le supporter.

Ça va s’arranger avec le temps pensait-on, les interfaces utilisateurs vont s’améliorer, les utilisateurs vont être éduqués, et de plus en plus de services vont le proposer en standard.

Il n’y avait qu’à attendre …

Mais ces derniers temps, les signes négatifs se multiplient, le dernier en date avec 37signals qui annonce qu’il va couper son support OpenID dans quelques mois.

Qu’une entreprise ne voit pas son intérêt business dans OpenID soit, on y était habitué, mais qu’une entreprise le coupe car cela impacte négativement son business (ici, trop de support client), c’est un message catastrophique !

Alors, qu’est ce qui n’a pas marché ?

  • les versions se sont multipliés, les extensions de la spécification aussi
  • les spécifications sont outrageusement compliquée, on est obligé de se reposer sur des bibliothèques, les implémentations divergent sur des détails, c’est l’enfer à supporter et déboguer
  • les utilisateurs ne savent pas ce que c’est, comment l’utiliser, et n’auront jamais idée de s’authentifier avec une URL
  • lorsqu’on essaie de simplifier le processus, on se retrouve avec un écran plein de logos (the OpenID Nascar problem), c’est qui est complétement contraire à l’esprit originel

Personnellement, j’ai codé quelques trucs, la deuxième version du plugin OpenID pour Dokuwiki, et La Distribution est à la fois un serveur (provider) et un client (relying party). Et au final, je n’ai pas un avis catégorique sur la question mais mitigé.

Au vu des dernières tendances, le grand soir d’OpenID, en tant que solution universelle d’authentification, ne viendra sans doute jamais. Les personnes qui ont été les plus enthousiastes dans le passé ne le sont plus, par exemple Simon Willison préfère utiliser Twitter Connect sur son projet Lanyrd, et Chris Messina, membre du OpenID board, n’y croit plus.

Pourtant, en travaillant correctement, il y a bien sûr moyen de résoudre les problèmes d’UI en utilisant les e-mails à la place des URLs, les problèmes d’interopérabilité avec des suites de test. Mais bon, l’avenir d’OpenID est peut-être en tant que protocole discret, pas forcément fait pour interopérabilité, un peu comme le promeut Google pour faire du SSO sur ses Google Apps.

Alors, quel avenir pour OpenID ? Y’a t-il de l’espoir ?

Quand même pas un simple enterrement ?

4 thoughts on “Le fiasco OpenID”

  1. J’ai un peu le même constat d’échec, ou du moins de difficulté, mais pas forcément orienté uniquement contre openId :
    - l’implémentation que nous avions faite il y a 3 ans était compliquée, et personne ou presque n’a utilisé openId, du moins pas le logo
    - 1 an après nous avons introduit les logos Yahoo et Google, qui ont eu beaucoup de succès. Là aussi l’implémentation pourtant sur une base d’openId ne s’est pas faite sans mal
    - nous avons eu énormément de problèmes avec des gens qui se loguaient indifféremment sur les logo ou via le formulaire mail/password classique : pour nous c’était logiquement 2 comptes séparés, mais les utilisateurs de yahoo mail et gmail ne se posaient même pas la question
    - entretemps, nous avons rajouté facebook connect : gros taux de clic, et pas d’effet secondaire …

    bref, c’est désolant mais sur ce coup là facebook connect a gagné :(

  2. le Keep It Simple, n’a pas été respecté… l’ergonomie est donc la clé (avec le design) de la réussite. Le principe était bon, l’application laborieuse, même parfois en étant geek..

  3. et si openid se recyclait dans le B2B ? car pour l’instant chacun fait ses propres flux propriétaires de propagation de connexion de manière artisanale, avec de la régression dans l’identification (l’utilisateur devient une personne générique par exemple) … Dans le B2B les systèmes masquent beaucoup de choses pour les utilisateurs; ils peuvent masquer l’url openid par exemple; ça nous ferait du SSO multi-entreprise un peu plus propre.

    xaml me parait pire en complexité.

    curieux de connaitre votre avis.

  4. Vous voulez parler de SAML j’imagine.

    Sinon, oui, c’est ce que j’essayais d’exprimer vers la fin de mon billet. OpenID peut être recyclé pour des protocoles d’authentification maison. Plutôt que de réinventer la roue, on utilise les librairies existantes et le tour est joué. Et dans ces cas là, on a peu de soucis d’interopérabilité, car on sait quels composants on utilise des deux côtés.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>